# P.A.S. Webshell > Tipo: **malware** · S0598 · [MITRE ATT&CK](https://attack.mitre.org/software/S0598) ## Descrição [[s0598-pas-webshell|P.A.S. Webshell]] (também conhecido como Fobushell) é um web shell PHP multifuncional disponível públicamente, em uso desde pelo menos 2016, que fornece acesso remoto e capacidade de execução de comandos em servidores web comprometidos. Embora sejá uma ferramenta pública e amplamente disponível, foi adotado por grupos sofisticados como o [[g0034-sandworm|Sandworm Team]] e o [[g1003-ember-bear|Ember Bear]] em campanhas de alto impacto contra infraestrutura ucraniana. O P.A.S. Webshell oferece uma interface web completa para gerenciamento do servidor comprometido: acesso a sistemas de arquivos, execução de comandos, gerenciamento de banco de dados, varredura de rede e força bruta de senhas. É ofuscado para dificultar detecção por WAFs e soluções de segurança de aplicação web. A modificação de permissões de arquivos Unix permite ao atacante expandir seu acesso no sistema comprometido. A utilização deste web shell público por grupos APT de elite demonstra que ferramentas de acesso aberto podem ser igualmente eficazes em operações de alto perfil, especialmente quando o objetivo é manter deniability ou confundir a atribuição. **Plataformas:** Linux, Windows ## Técnicas Utilizadas - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1505-003-web-shell|T1505.003 - Web Shell]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1222-002-linux-and-mac-file-and-directory-permissions-modification|T1222.002 - Linux and Mac File and Directory Permissions Modification]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-command-and-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - [[t1518-software-discovery|T1518 - Software Discovery]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1046-network-service-discovery|T1046 - Network Service Discovery]] - [[t1213-006-databases|T1213.006 - Databases]] - [[t1110-001-password-guessing|T1110.001 - Password Guessing]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1087-001-local-account|T1087.001 - Local Account]] ## Grupos que Usam - [[g1003-ember-bear|Ember Bear]] - [[g0034-sandworm|Sandworm Team]] ## Detecção - Implementar File Integrity Monitoring (FIM) em diretórios web para detectar novos arquivos PHP ([[t1505-003-web-shell|T1505.003]]) - Usar WAF com regras de detecção de web shells obfuscados ([[t1027-obfuscated-files-or-information|T1027]]) - Monitorar chamadas de sistema do servidor web para execução de comandos shell ([[t1059-command-and-scripting-interpreter|T1059]]) - Detectar varredura de rede interna originada do processo do servidor web ([[t1046-network-service-discovery|T1046]]) ## Relevância LATAM/Brasil Web shells PHP são uma das ameaças mais comuns a servidores web brasileiros. O P.A.S. Webshell e variantes similares são frequentemente encontrados em investigações de incidentes em organizações brasileiras comprometidas via vulnerabilidades em CMSs como WordPress, Joomla e aplicações PHP customizadas. A sua disponibilidade pública e facilidade de uso tornam esta categoria de ameaça onipresente, afetando desde pequenas empresas até infraestrutura governamental federal brasileira. ## Referências - [MITRE ATT&CK - S0598](https://attack.mitre.org/software/S0598)